Active Directory Rolleri

Olcay Güzel 11 Şubat 2013 0

Bu makalemizde Active Directory servislerinin hangi rollerden oluştuğunu bu rollerin ne işe yaradığını ve bu rolleri nasıl paylaştırabileceğimizi anlatacağız.

Active Directory içerisindeki rol kavramı sunucu özellik ve yeteneklerinin mantıklı bölümlere ayrılmış halidir. Yani, kendi içerisinde sağlanan bir hiyerarşi veya iş bölümü şeklinde tanımlayabiliriz. Bunlara Operation Master Roles de denilir. Active Directory 5 adet rolden oluşur. Bunlar

1- Domain Naming Master

2- Schema Master 

3- RID Pool Manager 

4- PDC Emulator Master 

5- Infrastructure Master rolleridir. Bu rollerin hepsi bir bilgisayarda olabileceği gibi ayrı ayrı sunuculara paylaştırılarak bütün yükün tek makine üzerinde yoğunlaşması engellenebilir. Active Directory üzerindeki bu 5 adet rolden ikisi forest seviyesi üçü domain seviyesi rollerdir. Şimdi kısaca bu rollerin ne iş yaptığından bahsedelim.

Forest Seviyesi Roller

1- Domain Naming Master :   Bu rol forest içersine domain eklenmesi veya domainin kaldırılması işini yüklenir. Bu role sahip bilgisayar sayısı her forest için sadece br tane olabilir. Windows Server 2000 işletim sistemine sahip sunucular bu role sahip olabilmesi için Global Catalog olarak tanımlanmaları gerekir.

***Global Catalog :  Active Directory veritabanı üzerinde işlem yapabilen yapıdır. Active Directory için veritabanı motoru ile iletişim sağlar.

2-Schema Master : Active Directory veritabanı üzerinde doğrudan erişimi olan roldür. Veritabanı motoru olarak çalışır. Active Directory veritabanına schema adı verilir. Schema Master rolünün schema üzerinde doğrudan erişim yetkisi vardır. Kullanıcı , grup oluşturma, Silme, gibi aklınıza gelebilecek her türlü işlem bu rol sayesinde yapılır. Eğer Active Directory üzerinde herhangi birşey oluşturamıyor, ayarlarınızı göremiyorsanız bu rolün çalışmamasına bağlı olabilir.

Domain Seviyesi Roller

3- RID Pool Manager :  Domain içerisinde SID numaraları oluşturmaktan sorumludur. SID numarası domain içindeki her kullanıcı, grup, bilgisyar vb gibi nesnelere atanmış benzersiz bir numaradır.  Bu rol çalışmazsa nesnelere SID numarası atanamayacağından herhangi bir nesne oluşturulamaz.

4- PDC Emulator Master :  Bu rol kullanıcıların şifre değişikliklerini yapmaktan ve bu değişiklikleri bütün domain controller bilgisayarda güncellemekten sorumludur. Eğer şifre değiştiremiyorsanız veya farklı hem eski hem de yeni şifrenizle giriş yapabiliyorsanız bu rol çalışmıyor demektir. PDC rolü ayrıca

a- Kullanıcı şifrelerinin domain seviyesinde tutarlı olmasını sağlamaktan. (Aynı anda tek bir şifreye sahip olması gibi) sorumludur. Bu rol domain controller bilgisayarlar için şifre değişiklikleri ve girilen şifrenin doğru olup olmaması konusunda bilgi sağlar. Bu role erişim sağlanabildiği sürece kullanıcılar şifrelerini anında ve domain seviyesinde tutarlı olacak şekilde değiştirebilirler.

b- Group Policy veya DFS gibi servislerin çalışabilmesi yetki kontrolü işlemlerinde kullanılır.

c- Windows Server 2000 ve daha eski versiyonlarda yazılan programlar için bir iletişim noktası olarak kullanılır.

d- Diğer domain controller bilgisayarlar için bir Time Server görevi yapar ve domain controller bilgisayarlar arasında zaman eşitlemesinden sorumludur.

PDC rolüne sahip bir domain controller Kerberos V5 ve NTLM yetkilendirme protokollerini destekler. Ayrıca tavsiye edilen bu rolün ayrı bir bilgisayarda olmasıdır. Çünkü en çok iş yüküne sahip rol PDC rolüdür.

5- Infrastructure Master :  Bu rol domaindeki nesnelerin güncellenmesinden ve güncel kalmasından sorumludur. Bu rol bir nesne üzerindeki bilgiyi global catalogdan aldığı bilgiyle karşılaştırır. Global Catalog domaindeki bütün nesnelerden düzenli olarak güncellemeleri aldığı için her zaman güncel kalır. Bu rol güncel olmayan bir bilgiyle karşılaştırsa global catalogdan bu bilginin güncellenmesini ister ve aynı güncellemeyi diğer domain controllere gönderir.

Bu rolün yüklü olduğu bilgisayar global katalog olarak tanımlanmamış olmalıdır. Eğer global catalog olarak tanımlanmışsa bu rol çalışmayacak dolayısıyla Infrastructure Master değişen verileri bulamayacak ve diğer domain controllere değişiklikleri aktaramayacaktır.

Bunun yanında eğer bütün domain controller bilgisayarlar global catalog olarak tanımlanmışsa, bütün domain controller bilgisayarlar her zaman güncel veriye sahip olacağından bu rolün hangi bilgisayarda olduğu önemli değildir.

Infrastructure rolü aynı zamanda grup ve üyeler için isim değişikliklerini de kontrol eder. Bir kullanıcının veya grubun ismini değiştirdiğinizde veya başka bir yere taşıdığınızda bu kullanıcı veya grubun üyesi olduğu gruplarda geçici olarak sanki o gruba üye değillermiş gibi görünebilir. Grubun üyesi olduğu domaindeki Infrastructure Master rolü kullanıcının yeni adı ve yerini güncellemekten sorumludur. Bu durum, kullanıcı adının isim veya bulunduğu yer (organizational unit vb.) değiştirildiğinde daha önceden üyesi olduğu gruplardaki üyeliklerini kaybetmelerini engeller. Kullanıcı veya grupların adının değiştirilmesiyle bunların güncellenmesi arasında geçen süre güvenlik açığı değildir. Söz konusu grup üyeliğindeki tutarsızlığı sadece yönetici yetkilerine sahip kullanıcılar farkedebilir.

Bir sonraki makalede bu rollerin nerde olduğunun nasıl tespit edileceğini ve domain controller bilgisayarlar arasında bu rollerin dağıtımın nasıl yapılacağını anlatacağız

Yorum Bırak »